Als je ‘disconnected’ bent, betekent dat in het Nederlands dat er een ‘verbinding verbroken’ is, ofwel dat je ‘ontkoppeld’ bent. Een van de problemen bij de cyberbeveiliging in de scheepvaartbranche is dat managers in de sector vaker ontkoppeld zijn van de harde cyberwerkelijkheid naarmate ze ouder zijn, zo betogen de auteurs van ‘The Great Disconnect’,

Een onvervalste generatiekloof dus. ‘Of het nou op zee is of aan wal, hoe ouder een staflid is, hoe onwaarschijnlijker het is dat bij hen het besef leeft dat hun organisatie ten prooi is gevallen aan een cyberaanval’, aldus de rapporteurs. Aan wal is 44% van het operationele personeel zich ervan bewust dat hackers de afgelopen drie jaar hebben toegeslagen bij hun bedrijf, terwijl dit bij mensen in managementrollen 37% is. Bij ‘senior leaders’ in het topmanagement (ceo’s, cfo’s, etc) daalt dit bewustzijn nog verder, naar 19%. De mensen die het meeste zeggenschap hebben over het aanpakken van bepaalde problemen binnen de maritieme bedrijven, zijn dus tegelijkertijd degenen die het minste van cybercriminaliteit afweten.

En op zee is het volgens de Thetius-onderzoekers van hetzelfde laken een pak. Van het scheepspersoneel in officiersfuncties denkt 50% dat er de afgelopen drie jaar sprake is geweest van cybercriminaliteit, bij kapiteins is dit 33%. Het gevolg is, aldus de onderzoekers, dat cyberincidenten worden ‘ondergerapporteerd’, waardoor collega’s op het droge onvoldoende op de hoogte zijn van kwalijke zaken die zich in de scheepssystemen afspelen en er dus geen beleid wordt gemaakt om de beveiliging op te schroeven.

Op linkje geklikt

Waterway, een consultancybureau uit Hamburg, gespecialiseerd in cyberveiligheid, stuurde vorig jaar bij wijze van test 292 opdringerige e-mailtjes naar honderd verschillende schepen, mailtjes waarin de ontvangers werd gevraagd om een waslijst aan informatie over het schip, variërend van gegevens over de vervoerde vracht tot antwoord op de vraag of zich ‘defensieve wapens’ aan boord bevonden. 269 van de dubieuze mailtjes, 92%, werd geopend. Een derde van de ontvangers die het mailtje openden, 90 werknemers, klikten op het linkje dat in de mail stond, 44 van hen vulden vervolgens het informatieformulier in en gaven zo gevoelige informatie over het schip prijs aan de ‘aanvallers’, die gelukkig voor de betrokkenen in dit geval niets slechts in de zin hadden.

En wie denkt dat het vast heel moeilijk is om een schip te hacken, komt volgens de Thetius-onderzoekers bedrogen uit door een andere simulatie die vorig jaar zomer plaatsvond tijdens een groot hackerscongres in een hotel in Las Vegas: de ‘Hack the Sea Challange’. Verschillende teams van hackers, die allemaal geen enkele ervaring hadden met scheepstechnologie, kregen de opdracht om een gesimuleerd schip, aanwezig in de vorm van authentieke hardware en software volgens ‘industry standards’, zo snel mogelijk tot zinken te brengen. De meeste deelnemers slaagden er binnen veertien uur in om het denkbeeldige vaartuig volledig in hun macht te krijgen en alle snode opdrachten uit te voeren, zo roepen de Thetius-onderzoekers in herinnering. Het toont volgens hen aan dat in de scheepvaart cyberrisico’s op de loer liggen voor zowel de ‘IT’ (Informatie Technologie’) als de ‘OT’ (Operationale Technologie), de technologie die nodig is om een schip te besturen.

Een bekend voorbeeld van een schip waarbij buitenstaanders er waarschijnlijk daadwerkelijk in zijn geslaagd om met de navigatie te rommelen, is volgens de rapportauteurs de ‘Stena Impero’, de Britse olietanker die in de zomer van 2019 in beslag werd genomen door de Iraanse autoriteiten omdat het schip maritieme wetten zou hebben geschonden en dat in Iran vervolgens ruim twee maanden aan de ketting werd gelegd. De internationale spanningen liepen destijds zo hoog op, dat de Britten besloten om twee oorlogsschepen naar de Straat van Hormuz te sturen om daarmee Britse vrachtschepen te beschermen, en anno 2022 wordt volgens het Thetius-rapport alom door deskundigen aangenomen dat de scheepsbemanning van de ‘Stena Impero’ destijds ten prooi is gevallen aan ‘GPS spoofing’, waarbij kwaadwillende hackers van buitenaf de navigatiegegevens van het schip in de war schopten. Hoewel de Britse en Iraanse autoriteiten het nooit naar buiten hebben gebracht, probeerden hackers zo kennelijk om de ‘Stena Impero’ de Iraanse wateren binnen te laten varen, waar de Iraanse Revolutionaire Garde op het vinkentouw zat om het schip in beslag te nemen.

Bitcoins

De Straat van Hormuz is bepaald niet de enige vaarroute die risico loopt, aldus de rapporteurs. De Straten van Dover, Malacca en Bosporus en de Kanalen van Suez en Panama zijn ook smal en kwetsbaar. ‘Gelukkig’, zo schrijven ze, zijn cyberaanvallen die worden gepleegd door landen ‘zeldzaam’, ook al signaleren ze dat voorafgaand aan de Russische invasie in Oekraïne al verschillende succesvolle cyberaanvallen werden uitgevoerd op ­Oekraïense organisaties.

Verreweg de meeste hackers zijn echter criminelen die er simpelweg op uit zijn om zoveel mogelijk geld binnen te harken. In 3% van de gevallen voelen aangevallen maritieme bedrijven zich dermate in het nauw gedreven dat ze overgaan tot het betalen van losgeld om zo weer normaal toegang tot hun systemen te krijgen, maar zulke gevallen leveren de criminelen gemiddeld dan wel meteen 3,1 miljoen dollar op, zo kwam naar voren uit de Thetius-enquête.

De meest opzienbarende overval van vorig jaar werd niet gepleegd op een scheepvaartbedrijf, maar op een pijpleiding, zo merken de onderzoekers op. De Colo­nial Pipeline, een leiding voor het transport van aardolie van Houston naar New York, goed voor 45% van het totale brandstofverbruik aan de Amerikaanse oostkust, werd platgelegd door een ransomware-aanval van aan Rusland gelinkte hackers, waarna de eigenaren geen andere uitweg zagen dan met 4,4 miljoen dollar in Bitcoins over de brug te komen. De opkomst van cryptomunten speelt cybercriminelen volgens de onderzoekers in de kaart: het stelt ze in staat om zich op anonieme wijze via ransomware-aanvallen te verrijken.

De ‘Great Disconnect’ waarvan de onderzoekers gewag maken in hun rapporttitel, slaat niet alleen op de generatiekloof die ze signaleren, maar ook op verschillende andere mankementen die tezamen zorgen voor een ­‘risicovacuüm’ waarvan kwaadwillenden gretig gebruik maken.

De aanbevelingen die de auteurs doen om de sector weerbaarder te maken tegen de cybergevaren, zijn bedoeld om die duidelijk zichtbare gaten in de verdedigingsmuur zoveel mogelijk dicht te metselen. Zo stellen ze voor dat scheepvaartbedrijven, om te ondervangen dat veel senior managers de problemen niet zien en geen doortastend beleid maken, aparte directieteams in het leven roepen die de specifieke verantwoordelijkheid krijgen voor de cyberveiligheid van zowel de IT- als de OT-systemen in de scheepsvloot.

De onderzoekers stellen dat cybercriminelen zo handig zijn in het continue fijn slijpen van hun methodes om bij bedrijven en organisaties binnen te komen, dat in de praktijk geen enkele verdediging 100% waterdicht zal zijn. Daarom is het volgens hen van levensbelang dat alle werknemers weten wat ze moeten doen als de hel onverhoopt losbreekt, zodat in elk geval zoveel mogelijk schade kan worden voorkomen. Werknemers zijn kwetsbaar en kunnen door verkeerd handelen als ‘unintentional insider’ een aanval laten slagen, maar als je ze goed traint en voorbereid op aanvallen, is je personeel juist je beste verdediging, zo adviseren de onderzoekers. Ze bepleiten daarom om in elke organisatie een uitgebreid ‘cyber incident training and drill programme’ in te voeren.

Niet zeewaardig

De onderzoekers drukken de scheepvaartbedrijven op het hart dat er voor hen veel op het spel staat. Sinds vorig jaar moeten de bedrijven volgens een resolutie van de Internationale Maritieme Organisatie (IMO) de cyberveiligheid onderdeel maken van hun Safety Management System (SMS), met als gevolg dat scheepsvloten die hun cyberveiligheid niet goed op orde hebben, zouden kunnen worden beschouwd als ‘niet zeewaardig’, wat ook weer gevolgen kan hebben voor de verzekerbaarheid van de schepen. Een verdere aanbeveling van de Thetius-deskundigen aan de bedrijven luidt dan ook, om ‘urgent’ het eigen verzekeringsbeleid op dit gebied tegen het licht te houden. Daarbij is het volgens hen tevens van belang om samen met de verzekerings- en juridische specialisten te bekijken of het in geval van nood überhaupt legaal is om aan de criminelen losgeld te betalen, of dat je volgens de letter der wet dan zelf ook in overtreding bent.

Het maritiem onderzoeksbureau Thetius baseerde zijn rapport ‘The Great Disconnect; The state of cyber risk management in the maritime industry’ op de resultaten van een enquête onder circa tweehonderd maritieme professionals, plus verschillende een-op-een interviews met experts. Deze bevindingen werden aangevuld met de ‘expertise en opinie’ van het Thetius-onderzoeksteam. Het onderzoek werd uitgevoerd in opdracht van cybersecurity-bedrijf CyberOwl en het advocatenbureau HFW.

U las zojuist één van de gratis premium artikelen

Onbeperkt lezen? Sluit nu een abonnement af

Start abonnement